マイイーサウォレットのハッキング/フィッシング対策【重要！】

マイイーサウォレットのハッキング

マイイーサウォレットは便利で最も人気の仮想通貨ウォレットの一つですが、ハッキングやフィッシング詐欺の被害報告が絶えません。

ハッキングがなくなることはありませんが、しっかりと対策を知っているかどうかで資産を失う可能性は全然違ってきます。今回は、そんなMEWのハッキング/フィッシング対策をご紹介します。

マイイーサウォレットのハッキング事件！

ご存知の方も多いと思いますが、実際にマイイーサウォレットがハッキングされたという事件があり、公式からも報告がありました。

⅕ Google Domain Name System registration servers were hijacked earlier today at roughly 12PM UTC so that MEW users were redirected to a phishing site. This redirecting of DNS servers is a decade-old hacking technique that aims to undermine the Internet’s routing system.

— MyEtherWallet.com (@myetherwallet) 2018年4月24日

DNSがハイジャックされてフィッシングサイトに飛ばされてしまいます
問題が解決するまでマイイーサウォレットにアクセスしない方がよさそうです

— ハードウェアウォレットジャパン＠仮想通貨 (@HWW_JP) 2018年4月25日

正確には、MyEtherWallet自体がハッキングされたのではなく、IPアドレスとドメインを連携させるための「DNSサーバー」がハイジャックされたことによって、MEWにログインしようとすると、フィッシングサイトへ飛ばされてしまったということになります。

この影響を受けたのは

シカゴ、シドニー、メルボルン、パース、ブリスベン、セブ、バンコク、オークランド、マスカット、ジブチ、マニラ

とのことですが、なぜかこの日に日本でも資産が奪われてしまったという声がちらほらと出ていました。

フィッシングサイトや偽メールにも要注意！

マイイーサウォレット自体のセキュリティは高いので、ハッキングされてしまう可能性は低いですが、本当に気を付けなければいけないのは「フィッシングサイト」や「偽メール」で、実はフィッシングによる被害というのは頻繁に起こっています。

わたしも数ヶ月前にフィッシング詐欺にやられて、マイイーサウォレットから、現在の価格で300万円相当のETHを盗まれました。

ネットで検索を掛けて、取引所やウォレットにログインは本当に危険。

ブックマークしてあるURLや、信頼できるブロガーさんのURLからアクセスするよう心掛けたいです。 https://t.co/yEMgzK9wN8

— 仮想にゃんこHIRO@airdrop (@Crypto_singer) 2018年1月13日

PHISHING ALERT RE: AIRDROPS / TELEGRAM

Always remember…

DO YOUR OWN RESEARCH!

Emails from: “notifications@typeform.com” are asking for PW, Private Keys for ‘verification’.

NEVER GIVE YOUR PRIVATE KEYS or PW to anyone! pic.twitter.com/xRfy2UMamW

— MyEtherWallet.com (@myetherwallet) 2018年5月23日

公式からも注意を促していますが、偽サイトやなりすましメールなどからログインしてしまうと秘密鍵を抜き取られてしまうため注意が必要です。

ちなみにマイイーサウォレットは今のところ公式テレグラムも公式アプリも持っていないので、見つけた場合はフィッシングの可能性が大です。

MEWのハッキング/フィッシング対策

MEWセキュリティ強化

ハッキングやフィッシングで大切な資産が盗まれてしまわないように、具体的な対策法をご紹介していきます。

公式アカウントをこまめにチェック

先ほどご紹介したように、サーバーが乗っ取られてしまったなどの時に、その事実を知らないと普通にログインしてしまい、不正ログインされてしまいます。ですが、MyEtherWallet公式のSNSやツイッターを普段から見ている人は、事前に知ることができたので、ログインせずに済みました。

公式ツイッターでは、ハッキングやフィッシングの情報をいち早く発信してくれるので、フォローして普段からこまめにチェックしておくようにしましょう。

マイイーサウォレット公式のツイッターはこちら↓

Tweets by myetherwallet

偽サイトに注意！

誤って偽サイトにログインしてしまうと、秘密鍵が抜き取られてしまいます。

URLをチェック

公式のサイトと偽サイトでは、URLが微妙に違っています。

例）

公式サイト→~myetherwallet[.]com

偽サイト→~myetherwalleth[.]org

もしサイトへアクセスして警告が出てきたら無視してログインしないようにしましょう。

また、もう一つチェックしておきたいのが、URLの緑の部分です。

（鍵マーク）MyEtherWallet Inc [US]｜https~（httpではなくhttps）がしっかりと表示されていることを確認します。

※これは、SSLによって通信が暗号化されることで、セキュリティ機能が追加されていることを表しています。（httpsのsは「Secure（安全な）」を表しています。）

ブックマークしておく

ウォレットや取引所の偽サイトは数多く存在します。Googleで「マイイーサウォレット」と検索して上位に出てきたものが100%公式のものとは限りません。また、見知らぬメールのリンクからログインするのも危険です。

できるだけ公式サイトをブックマークしておいて、毎回そこからアクセスするようにしましょう。

偽メールに注意！

公式を偽ったなりすましメールも存在するので注意が必要です。

Another phishing attempt, this time from email

‘tokensgram@yahoo.com’.

Again – we will NEVER send out emails, since we don’t hold or have any account/personal info!

Do NOT click on any links sent from this email! Delete/Spam it! pic.twitter.com/OzDyev3cEf

— MyEtherWallet.com (@myetherwallet) 2018年5月22日

まず、マイイーサウォレットを開設する際に、メールアドレスは登録しないので公式からメールが送られてくることはありません。そのようなメール中にあるリンクをクリックしたり、秘密鍵やパスワード情報を渡してしまわないようにしましょう。